Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿ Hay que tener un cuidado especial con los datos de los menores?.............................................2
¿Es posible utilizar aplicaciones de terceros para tratar datos personales de los centros?...........3
Si se utilizan aplicaciones de terceros, ¿hay alguna diferencia entre que los datos estén en la
“nube” o en un dispositivo propiedad del centro?..............................................................................3
Cualquier información que pueda ser relacionada con una persona física identificada o
identificable. Eso incluye, entre otros, además de los datos puramente identificativos (nombre,
apellidos, DNI...), las calificaciones, resultados de evaluaciones o trabajos, datos de salud
(patologías, minusvalías o grados de minusvalía, resultados de evaluaciones psicológicas...), imagen
o voz (grabaciones de video y audio, fotos...) de las personas.
Cualquier operación que se realice sobre datos personales o conjuntos de datos personales,
independientemente de que se haga por medio de procedimientos automatizados o manuales . En
consecuencia, su almacenamiento, difusión o publicación, entre otros, tienen la consideración de
tratamientos de datos y se les tiene que aplicar la normativa vigente en la materia.
¿ Hay que tener un cuidado especial con los datos de los menores?
Los y las menores merecen una protección específica de sus datos personales, dado que
pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos relativos al
tratamiento de datos personales.
Sin embargo, pueden existir tratamientos de datos personales sobre los cuales el centro decida
cómo hacerlos y para qué hacerlos (grabación de actividades, difusión de información, redes
sociales...). En estos casos, la responsabilidad será del centro y su ejercicio recaerá en la dirección
de este, conforme a las competencias establecidas en el artículo 132 de la Ley Orgánica 2/2006, de
3 de mayo, de Educación.
Cualquier tratamiento de datos personales de las y los estudiantes, del personal o de padres y
madres, con finalidad distinta del uso exclusivamente personal o doméstico, debe tener una
habilitación legal que, con carácter general, puede ser el cumplimiento de una obligación legal, el
desarrollo de una misión en interés público o del ejercicio de competencias previstas en una ley, o
el consentimiento de los afectados.
• Que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas de seguridad
apropiadas, de forma que el tratamiento sea conforme con los requisitos legales y garantice
la protección de los derechos del interesado.
• Que exista un contrato u otro acto jurídico que vincule al encargado (el tercero) respecto
del responsable (el centro) y establezca el objeto, la duración, la naturaleza y la finalidad
del tratamiento, el tipo de datos personales, las categorías de interesados, los derechos de
los afectados y las responsabilidades de cada una de las partes.
La firma de un contrato o una resolución que vincule al encargado debe efectuarla quien tenga
la capacidad legal de representar al responsable del tratamiento y, preferiblemente, debe constar
por escrito. La aceptación mediante un “click” de las condiciones impuestas por una plataforma no
reúne, con carácter general, estas condiciones.
¿Es posible utilizar aplicaciones de terceros para tratar datos personales de los centros?
Para poder usar aplicaciones de terceros que tratan datos personales que sean responsabilidad
del centro o de la Conselleria, hará falta que se cumplan dos condiciones:
• Que si el tercero propietario o autor de la aplicación tiene o puede tener acceso a los datos
personales, asuma la condición de encargado de tratamiento y exista el correspondiente
contrato entre él y el responsable (Conselleria o centro), o un acto jurídico equivalente.
Si se utilizan aplicaciones de terceros, ¿hay alguna diferencia entre que los datos estén en la
“nube” o en un dispositivo propiedad del centro?
Si los datos están en la nube, el tercero que proporciona el servicio siempre tiene acceso a los
mismos y, en consecuencia, será imprescindible que obtenga previamente la condición de
encargado del tratamiento de los datos personales.
El Reglamento General de Protección de Datos también establece que los datos personales
tendrán que ser tratados de tal manera que se garantice una seguridad adecuada de estos. La Ley
Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales determina que los
organismos públicos tendrán que aplicar a los tratamientos de datos personales las medidas de
seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad. El uso de
dispositivos personales como puedan ser los ordenadores de uso privado, bien sean portátiles o de
sobremesa, tablets o teléfonos móviles, puede comprometer la seguridad de los datos personales
porque no están sujetos estos dispositivos, a todos los efectos, al cumplimiento de lo que prevé el
Esquema Nacional de Seguridad.
Situación:
• El/la profesor/a entrega este código a su alumnado y da instrucciones para que se registren
individualmente en la plataforma, lo cual requiere que los/las estudiantes se identifiquen,
Hay que recordar que la finalidad de la formalización del encargo de tratamiento por medio de
un contrato o acto jurídico es, entre otros, dejar claro que el propietario de la plataforma no puede
utilizar los datos personales del alumnado del centro para ninguna finalidad distinta de la de
facilitar la realización de los ejercicios y la evaluación de los/las estudiantes y obligarle a borrar
estos datos cuando así se lo indicara el centro o la Conselleria, como responsables del tratamiento.
La mayor parte de plataformas que se ofrecen de manera gratuita no contemplan esta posibilidad
y consideran que son responsables del tratamiento de todos los datos de los usuarios que se han
registrado libremente en su plataforma, de acuerdo con un interés legítimo (artículo 6.1.f del
Es decir, sería posible recomendar el uso voluntario de la aplicación por parte de los/las
estudiantes, pero no obligarles a utilizarla como parte del proceso educativo.
“A todos los efectos, las comunicaciones entre el profesorado y el alumnado tienen que tener
lugar dentro del ámbito de la función educativa y no se tienen que llevar a cabo a través de
aplicaciones de mensajería instantánea. Si hubiera que establecer canales específicos de
comunicación, tendrán que emplearse las herramientas y los medios establecidos por la
conselleria competente en materia de educación y puestos a disposición de alumnado y
profesorado o por medio del correo electrónico.”
“Las comunicaciones entre el profesorado y los familiares de alumnos tienen que llevarse a
cabo a través de los medios puestos a disposición de los dos por el centro educativo o la
conselleria competente en materia de educación.”
...
6. Los usuarios no tienen que enviar mensajes con información sensible tanto en el cuerpo del
mensaje como en los archivos adjuntos. Este envío únicamente podrá realizarse si se adoptan los
mecanismos necesarios para evitar que la información sea inteligible o manipulada por terceros
(encriptación y firma electrónica).
...
En otros, la aplicación trabaja solo en local y no da acceso a los datos a los propietarios de esta.
Aun así, como ya se ha explicado, el Reglamento General de Protección de Datos también
establece que los datos personales tendrán que ser tratados de tal manera que se garantice una
seguridad adecuada de estos. El uso de dispositivos personales tales como ordenadores de uso
privado, sean portátiles o de sobremesa, tablets o teléfonos móviles, puede comprometer la
seguridad de los datos personales porque estos dispositivos no están sujetos, a todos los efectos,
al cumplimiento de lo que se prevé en el Esquema Nacional de Seguridad. En consecuencia, en
estos casos, aunque los datos no se suban a la nube de la empresa, habría que tratarlas en equipos
de la Conselleria o del centro que cumplieran con las exigencias del Esquema Nacional de
Seguridad.